Malware Medusa Mobile

Trojani bankar Medusa është rishfaqur pas gati një viti duke mbajtur një profil më të ulët, duke synuar vende duke përfshirë Francën, Italinë, Shtetet e Bashkuara, Kanadanë, Spanjën, Mbretërinë e Bashkuar dhe Turqinë. Ky aktivitet i rinovuar, i monitoruar që nga maji, përfshin variante të thjeshta që kërkojnë më pak leje dhe futjen e funksionaliteteve të reja që synojnë fillimin e transaksioneve drejtpërdrejt nga pajisjet e komprometuara.

I referuar gjithashtu si TangleBot, trojani bankar Medusa është një Malware Android-as-a-Service (MaaS) i zbuluar në vitin 2020. Ky malware ofron aftësi të tilla si regjistrimi i tasteve, manipulimi i ekranit dhe kontrolli i SMS-ve. Pavarësisht se ka të njëjtin emër, ky operacion dallohet nga grupi i ransomware dhe botnet-i i bazuar në Mirai i njohur për sulmet e mohimit të shërbimit të shpërndarë (DDoS).

Fushata kërcënuese duke vendosur programin keqdashës celular Medusa

Shikimet e para të varianteve më të fundit të Medusa datojnë në korrik 2023, kur studiuesit i vëzhguan ato në fushata duke shfrytëzuar SMS phishing ('smishing') për të shpërndarë malware përmes aplikacioneve dropper. Janë identifikuar gjithsej 24 fushata që përdorin këto variante, të lidhura me pesë botnet të veçanta (UNKN, AFETZEDE, ANAKONDA, PEMBE dhe TONY), secila përgjegjëse për ofrimin e aplikacioneve të dëmshme.

Botnet-i UNKN operohet nga një grup specifik aktorësh kërcënimi të fokusuar në shënjestrimin e vendeve evropiane, veçanërisht Francës, Italisë, Spanjës dhe MB. Aplikacionet e fundit pikatore të përdorura në këto sulme përfshijnë:

• Një shfletues i falsifikuar i Chrome.
• Një aplikacion i supozuar i lidhjes 5G.
• Një aplikacion i rremë transmetimi i quajtur 4K Sports.

Zgjedhja e aplikacionit 4K Sports si karrem përkon me kampionatin në vazhdim UEFA EURO 2024, duke e bërë atë një joshje në kohën e duhur.

Ekspertët vërejnë se të gjitha këto fushata dhe botnet menaxhohen përmes infrastrukturës qendrore të Medusa, e cila merr në mënyrë dinamike URL-të e serverit Command-and-Control (C2) nga profilet e mediave sociale të aksesueshme publikisht.

Modifikime të reja në versionet e Malware Medusa

Krijuesit e malware Medusa kanë zgjedhur të minimizojnë ndikimin e tij në pajisjet e komprometuara duke reduktuar numrin e lejeve që ai kërkon, megjithëse ende kërkon Shërbimet e Aksesueshmërisë së Android. Pavarësisht këtij reduktimi, malware ruan aftësinë e tij për të hyrë në listën e kontakteve të viktimës dhe për të dërguar mesazhe SMS, e cila mbetet një metodë kritike për shpërndarjen e tij.

Analiza zbulon se autorët e malware kanë eliminuar 17 komanda nga përsëritja e tij e mëparshme, ndërsa kanë prezantuar pesë të reja:

• Destroyo: çinstaloni një aplikacion specifik
• Permdrawover: kërkoni lejen 'Drawing Over'
• Setoverlay: aplikoni një mbivendosje të ekranit të zi
• Take_scr: kapni një pamje nga ekrani
• Update_sec: përditësoni sekretin e përdoruesit

Shqetësues i veçantë është komanda 'setoverlay', e cila u mundëson sulmuesve në distancë të ekzekutojnë manovra mashtruese, të tilla si shfaqja e një ekrani të kyçur ose të fikur nga energjia për të errësuar aktivitetet kërcënuese si transfertat e paautorizuara të fondeve që ndodhin në sfond.

Aftësia e shtuar rishtazi për të kapur pamjet e ekranit përfaqëson një përmirësim të rëndësishëm, duke u ofruar aktorëve të kërcënimit një metodë të re për të nxjerrë informacione të ndjeshme nga pajisjet e komprometuara.

Operatorët e Medusa po zgjerojnë fokusin e tyre

Operacioni trojan i bankingut celular Medusa duket se po zgjeron fokusin e tij dhe po adopton taktika më të fshehta, duke hapur rrugën për vendosje në shkallë më të gjerë dhe një numër në rritje viktimash. Ndërsa studiuesit nuk kanë identifikuar ende asnjë nga aplikacionet pikatore në Google Play, pjesëmarrja në rritje e kriminelëve kibernetikë në Malware-as-a-Service (MaaS) sugjeron që strategjitë e shpërndarjes ka të ngjarë të bëhen më të larmishme dhe të sofistikuara.